Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Groot advertentienetwerk serveert malware' - update 3

Engage Lab, een groot advertentienetwerk dat via DoubleClick en Google advertenties op websites plaatst, serveert malware. Volgens Fox-IT gaat het om een van de grootste aanvallen met malware via advertenties die tot dusver is waargenomen.

Fox-IT stelt onder zijn klanten, voor wie het de interne netwerken monitort, sinds dinsdagmiddag een flinke hoeveelheid infecties en pogingen tot infecties waar te nemen. "Vergeleken met eerdere malvertising-campagnes is dit een van de grootste die we tot nu toe hebben gezien", zegt beveiligingsonderzoeker Maarten van Dantzig van Fox-IT. Dat ook klanten van Fox-IT getroffen zijn, geeft aan dat veel Nederlandse websites op dit moment waarschijnlijk ongewenst malware proberen aan te bieden: zestig tot zeventig procent van de 'sensoren' van Fox-IT staat in West-Europa.

Waarschijnlijk zijn aanvallers het netwerk, Engage Lab, binnengedrongen om zo malafide advertenties te kunnen plaatsen. Daarbij gebruiken ze volgens Fox-IT de Nuclear Exploit Kit, die zoekt naar verouderde versies van Flash, Silverlight en Java om zo beveiligingsproblemen te misbruiken en malafide software te installeren. Welke software de aanvallers proberen te installeren, is op dit moment nog onduidelijk.

Engage Lab vult via 'real time bidding' advertentieruimte op websites. Daarbij bieden adverteerders op de advertentieruimte. Het bedrijf gebruikt servers van Google en zijn dochterbedrijf DoubleClick om de advertenties te kunnen vertonen.

Gebruikers en netwerkbeheerders kunnen zich onder meer weren door hun software, vooral Java, Silverlight en Flash, bij te werken naar de nieuwste versie. Ook kunnen ze de ip-adressen 85.143.217.196 en 174.36.217.82 blokkeren; die adressen worden door de aanvallers gebruikt om malware te serveren en de malware eenmaal geïnstalleerd nieuwe commando's te sturen. Om te voorkomen dat plug-ins kunnen worden gebruikt om malware te installeren, kunnen gebruikers de browser ook zo instellen dat plug-ins niet automatisch worden ingeladen, maar pas als de gebruiker op een object klikt.

Het gebeurt vaker dat advertentienetwerken worden gebruikt om malware te verspreiden. Aanvallers hacken daarbij het advertentienetwerk, of weten een advertentie met malware door de controles van advertentienetwerken heen te krijgen. Hierdoor hebben meerdere grote Nederlandse sites, waaronder bekende namen als NU.nl, Telegraaf en NRC.nl, in het verleden malware geserveerd.

Update, 21:39: Uit voorzorg heeft Tweakers in ieder geval automated trading uitgezet, waardoor dergelijke advertenties niet meer automatisch worden vertoond. Daardoor kan de malware in ieder geval via Tweakers niet meer worden geserveerd. Advertenties die direct via Tweakers zijn ingekocht, zijn nog wel zichtbaar.

Update, 21:54: Fox-IT heeft een infographic vrijgegeven waar op te zien is hoe de malware een gebruiker infecteert.

Update, woensdag 7:14: Het advertentienetwerk lijkt inmiddels geen malware meer te serveren.

Door Joost Schellevis

Redacteur

07-04-2015 • 21:20

149 Linkedin Google+

Reacties (149)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrisch rijden

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True